ลองนึกดูนะครับว่า ข้อมูลของเราที่ถูกกรอกและวางทิ้งไว้เฉย ๆ บนโลกออนไลน์หรืออยู่ภายในองค์กร วันหนึ่งอาจถูกละเมิดนำไปใช้ในทางที่ผิด ไม่ว่าจะเป็นการจารกรรม การหลอกหลวง หรือการนำเอาข้อมูลของเราไปอ้างเพื่อคดโกงผู้อื่น ซึ่งต่างก็นำความเดือนร้อนมายังเจ้าของข้อมูลส่วนบุคคลอย่างเราแทบทั้งสิ้น เราจึงควรหันมาให้ความสนใจและไม่ปล่อยให้ข้อมูลส่วนบุคคลเหล่านี้ปราศจากการคุ้มครอง
Data Retention คืออะไร?
หลายคนที่ศึกษาเกี่ยวกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่าง PDPA คงเคยได้ยินคำว่า Data Retention มาบ้าง…
“ถ้าไม่เหลือข้อมูลให้ละเมิดแล้ว – การละเมิดก็คงเกิดขึ้นไม่ได้”
Data Retention หมายถึง การกำหนดระยะเวลาการเก็บรักษาข้อมูล โดยมีวัตถุประสงค์เพื่อคุ้มครองข้อมูลและลดโอกาสการละเมิดหรือรั่วไหลของข้อมูล โดยกฎหมายคุ้มครองข้อมูลส่วนบุคคลของยุโรป (GDPR) และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (PDPA) ต่างคำนึงถึงหลักการเก็บข้อมูลอย่างจำกัด (Storage Limitation) ซึ่งกล่าวถึงแนวทางของการคุ้มครองข้อมูลส่วนบุคคลไว้ว่า ผู้ควบคุมข้อมูลจะต้อง
- จัดเก็บข้อมูลส่วนบุคคลให้สอดคล้องกับวัตถุประสงค์ และมีระยะเวลาการเก็บรักษาเท่าที่จำเป็นตามวัตถุประสงค์
- เมื่อหมดความจำเป็นของการเก็บรักษาตามวัตถุประสงค์แล้ว ควรดำเนินการลบหรือทำลายตามระเบียบที่วางไว้
- ระยะเวลาการจัดเก็บข้อมูลส่วนบุคคล ขึ้นอยู่กับบัญญัติของกฎหมายที่บังคับใช้/ระเบียบ/มาตรฐาน/บรรทัดฐานการจัดเก็บและรักษาข้อมูลที่กำหนดไว้ของแต่ละวงการ
ด้านผู้ควบคุมข้อมูลส่วนบุคคล (หรือคนที่จัดเก็บข้อมูลส่วนบุคคลของบุคคลอื่น) อาจจำเป็นต้องจัดทำนโยบายการเก็บรักษาข้อมูล เพื่อแจ้งให้เจ้าของข้อมูลส่วนบุคคลได้รับทราบและยอมรับ/ยินยอม เป็นการดำเนินการตามสิทธิที่เจ้าของข้อมูลพึงได้รับแจ้ง ว่าผู้ควบคุมข้อมูลส่วนบุคคล (และองค์กร) จะปฏิบัติตามแนวทางดังกล่าวเพื่อประโยชน์สูงสุดของผู้ควบคุมข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคลเอง
ข้อมูลนิรนาม Anonymised Data ไม่จำเป็นต้องวางแผนระยะเวลาในการจัดเก็บรักษา เพราะข้อมูลดังกล่าวถูกทำให้ไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลได้อีกต่อไป (ไม่ว่าจะโดยตัวข้อมูลเองหรือนำไปประกอบกับข้อมูลอื่น ๆ) จึงถือว่าไม่เป็นข้อมูลส่วนบุคคล และไม่เข้าขอบเขตการคุ้มครองของ พ.ร.บ.พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล PDPA
นโยบายการเก็บรักษาข้อมูล (Data Retention Policy)
นโยบายการเก็บรักษาข้อมูล (Data Retention Policy) ช่วยให้องค์กรผู้ควบคุมข้อมูลสามารถติดตามกระแสของข้อมูลที่ไหลผ่านหรือไหลวนอยู่ในองค์กรได้ เป็นแนวทางในการควบคุมดูแลข้อมูล โดยระบุวิธีการเก็บรักษา ตลอดจนวิธีการหรือระยะเวลาในการลบหรือทำลายเมื่อข้อมูลนั้นไม่เป็นที่ต้องการอีกต่อไป
นอกเหนือจากนั้น นโยบายการเก็บรักษาข้อมูลควรระบุวัตถุประสงค์และฐานการประมวลผลข้อมูล โดยเฉพาะข้อมูลส่วนบุคคลใน Data Flow เพื่อคุณจะได้มองเห็นและแน่ใจว่า/ทำให้แน่ใจว่ามีเอกสารหรือหลักฐานพิสูจน์อำนาจในการจัดเก็บข้อมูลตามระยะเวลาที่กำหนดด้วย คราวนี้คุณก็มั่นใจได้อีกระดับแล้วว่ากระบวนการประมวลผลข้อมูลของคุณได้ดำเนินการอย่างถูกต้องภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล
5 ขั้นตอนสำคัญเพื่อพัฒนานโยบาย การเก็บรักษาข้อมูล (ส่วนบุคคล) ของคุณ
- ฟอร์มทีมพัฒนานโยบาย
การจัดตั้งทีมพัฒนานโยบายการเก็บรักษาข้อมูล นอกเหนือจากมีนักกฎหมายเป็นสมาชิกหลัก ควรประกอบไปด้วยตัวแทนจากบุคลากรทุกภาคส่วน ไม่ว่าจะเป็นฝ่ายขาย การตลาด บัญชี ทรัพยากรมนุษย์ หรือแผนกอื่น ๆ ที่เกี่ยวข้องกับข้อมูลในองค์กร (อันที่จริงอาจกล่าวได้ว่าแทบทุกแผนกเกี่ยวข้องกับข้อมูลส่วนบุคคลไม่ทางใดก็ทางหนึ่ง) เพราะนักกฎหมายฝ่ายเดียวอาจมองเห็นภาพไม่ชัดเจน การฟอร์มทีมจากทุกส่วนขององค์กรแบบนี้จะช่วยให้การพัฒนานโยบายเป็นไปอย่างครอบคลุมมากที่สุดนั่นเองครับ
- พิจารณาเกณฑ์ที่บังคับ
ทีมพัฒนานโยบายฯ ควรพิจารณาว่ามีกฎหมายหรือระเบียบบังคับจากองค์กรกำกับดูแลใดบ้างที่มีขอบเขตเกี่ยวข้องกับระยะเวลาในการเก็บรักษาข้อมูลและการลบหรือทำลายข้อมูล โดยหลัก ๆ แล้ว สำหรับกิจการที่ประมวลผลข้อมูลภายในประเทศไทยจะต้องปฏิบัติตามมาตรการ/แนวทางของ PDPA ที่วางโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (ปัจจุบันยังไม่มีมาตรการออกมาอย่างเป็นทางการ) หรือหากมีกิจการในประเทศอื่น/ประมวลผลข้อมูลของบุคคลต่างชาติอาจต้องศึกษาและดำเนินการตามข้อบังคับของท้องถิ่นนั้น เช่น หากคุณเก็บรักษาข้อมูลของชาวยุโรปจะต้องดำเนินการเก็บรักษา และลบหรือทำลายข้อมูลตาม GDPR ซึ่งมีขอบเขตบังคับใช้ภายในสหภาพยุโรป
นอกจากนั้น เกณฑ์ข้อบังคับที่เกี่ยวข้องกับแนวทางการเก็บรักษาและลบหรือทำลายข้อมูล อาจพิจารณาใช้ตามระเบียบ/มาตรฐาน/บรรทัดฐานของแต่วงการร่วมด้วย เช่น การเก็บรักษาผลประเมินการทำงานของบุคลากรในองค์กรที่ฝ่าย HR เก็บรักษาเอาไว้เพียง 3 ปีหลังการประเมินเสร็จสมบูรณ์ การเก็บรักษาบัญชีและเอกสารที่ใช้ประกอบการลงบัญชี (ซึ่งมีส่วนหนึ่งเป็นข้อมูลส่วนบุคคล) ที่ต้องเก็บรักษาไม่น้อยกว่า 5 ปี เพื่อประโยชน์ในการตรวจสอบ หรือการเก็บรักษาเวชระเบียนทางการแพทย์หรือข้อมูลสุขภาพของผู้ป่วยซึ่งเป็นข้อมูลส่วนบุคคลอ่อนไหว ที่จะถูกลบทำลายเมื่อผู้ป่วยขาดการติดต่อกับโรงพยาบาลเกิน 5 ปี เป็นต้น
- กำหนดประเภทข้อมูลที่คุ้มครองภายใต้นโยบาย
ก่อนดำเนินการเขียน Data Retention Policy ทางทีมฯ ต้องสำรวจภายในองค์กรให้ถี่ถ้วน คัดเลือก และจัดทำลิสต์ออกมาว่ามีข้อมูลใดบ้างที่เข้าข่ายเป็นข้อมูล/ข้อมูลส่วนบุคคลที่จำเป็นต้องเก็บรักษาต่อไป เพื่อเขียนระบุไว้ในนโยบายในเชิงรายละเอียดให้มีความครอบคลุม (ส่วนข้อมูลบางประเภทที่ไม่จำเป็นต้องเก็บรักษาเอาไว้ก็ควรลบหรือทำลายทิ้งเสีย เพื่อไม่ให้เป็นภาระในอนาคต)
ยกตัวอย่างประเภทของข้อมูล ได้แก่ เอกสารกระดาษ อีเมลและเอกสารอิเล็กทรอนิกส์อื่น ๆ บันทึกประวัติส่วนตัวลูกค้า ข้อมูลการโอนจ่ายเงิน สเปรดชีทการเงิน สัญญา ข้อความโต้ตอบระหว่างเจ้าหน้าที่และลูกค้า ข้อมูลคู่ค้าและซัพพลายเออร์ ข้อมูลยอดชำระ ใบแจ้งหนี้ ใบเสร็จรับเงิน เอกสารภาษีและบัญชี รายการทางการเงิน ข้อมูลสุขภาพของผู้ป่วย ข้อมูลผู้เรียน ฯลฯ
- เขียนนโยบายให้ชัดเจน
เมื่อเตรียมการเกี่ยวกับประเภทของข้อมูล ตลอดจนฐานการประมวลผลและระยะเวลาที่เหมาะสมในการเก็บรักษาข้อมูลแต่ละประเภทแล้ว ก็ถึงเวลาลงมือจัดทำนโยบายการเก็บรักษาข้อมูล ซึ่งต้องประกอบไปด้วย:
- วัตถุประสงค์ของการประมวลผลข้อมูล (ส่วนบุคคล) โดยเฉพาะการเก็บรักษาข้อมูล
- กฎหมาย ข้อบังคับ นโยบาย ระเบียบ หรือบัญญัติอื่น ๆ ที่นำมาปรับใช้เพื่อเก็บรักษาข้อมูล
- ระยะเวลาการเก็บรักษาข้อมูลและกำหนดการลบหรือทำลายข้อมูล
- แผนการดำเนินคดี (เพื่อค้นหาและรวบรวมข้อมูลที่เกี่ยวข้องอย่างรวดเร็วและมีความสามารถในการป้องกันทางกฎหมาย)
- เพื่อประโยชน์ในการดำเนินคดี)
- กำหนดการอัปเดตนโยบายให้มีความทันสมัย
- อัปเดตให้บุคลากรทราบ
การเก็บรักษาข้อมูล และการคุ้มครองข้อมูล เป็นประเด็นที่ทุกคนในองค์กรควรรับรู้ จึงควรประกาศแจ้งนโยบายที่เขียนขึ้น/จัดอบรมให้บุคลากรทราบโดยทั่วถึงและอยู่ใน Loop ของการพัฒนานโยบายให้ทันสมัยอยู่เสมอ โดยคุณอาจจัดการประชุมร่วมระหว่างตัวแทนจากส่วนงานต่าง ๆ เมื่อมีวาระการอัปเดตนโยบาย ซึ่งแต่ละหน่วยงานอาจพบปัญหาและมีคำแนะนำจากหลายมุมมอง เพื่อทีมงานจะได้มีความเข้าใจในสถานการณ์อย่างลึกซึ้งและพัฒนานโยบายการจัดเก็บข้อมูลได้อย่างมีประสิทธิภาพ
ความจำเป็นของนโยบาย การเก็บรักษาข้อมูล
นโยบายการเก็บรักษาข้อมูลที่ดำเนินการตามขั้นตอนข้างต้น เป็นเครื่องมือหนึ่งที่ช่วยให้มองเห็นภาพรวม แจ้งให้เจ้าของข้อมูลทราบ ลดความเสี่ยงของการเกิดกรณีละเมิด และยกระดับการคุ้มครองข้อมูลให้ปลอดภัยตามมาตรฐานของ PDPA และ GDPR ที่ให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคล
ซึ่งหากองค์กรของท่านมีขนาดใหญ่ บริหารข้อมูลหรือเก็บรักษาข้อมูลเอาไว้เป็นจำนวนมาก หรือมีกิจกรรมที่เกี่ยวข้องกับข้อมูลเป็นหลัก ก็ควรมีนโยบายการเก็บรักษาข้อมูล ส่วนองค์กรทั่วไปอาจไม่จำเป็นต้องจัดทำนโยบายฯ ตัวนี้แยกออกมา แต่เขียนแทรกเอาไว้เป็นส่วนหนึ่งของนโยบายความเป็นส่วนตัว (Privacy Policy) ก็ย่อมได้
…………………………
เจ็บหนักแน่! หากคุณไม่ปรับตัวตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เพราะอาจมีความผิด เสียใจ เสียทรัพย์ และอาจถูกตัดสินจำคุกได้หากเกิดการละเมิดของข้อมูลภายใต้ความดูแล ที่เราเชื่อว่าคุณเองก็คงไม่อยากโดน
หลักสูตร Personal Data Protection Certificate (PDPC) ออกแบบมาเพื่อสร้างความรู้ความเข้าใจด้านการคุ้มครองข้อมูลส่วนบุคคลอย่างลึกซึ้งและครอบคลุม โดยปูพื้นฐานเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) ตามด้วย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ของไทย ตั้งแต่คอนเซ็ปต์และหลักการพื้นฐาน ตลอดจนแนวปฏิบัติตามกฎหมาย ด้วยหวังว่าผู้เข้าอบรมจะสามารถนำองค์ความรู้ที่ได้ไปประยุกต์ใช้สำหรับการทำงานภายในองค์กร ตลอดจนสามารถปฏิบัติให้สอดคล้องกับกฎหมายทั้งสองได้อย่างมีประสิทธิภาพ
สนใจรายละเอียดหลักสูตรสอบถามเพิ่มเติมได้ที่ Facebook: PDPA ICDLTHAILAND
